Données personnelles et sensibles
Définition
Selon la commission Européenne, “les données à caractère personnel sont des informations se rapportant à une personne vivante identifiée ou identifiable.” Elles se matérialisent sous des formes très simples, comme le nom et le prénom d’une personne, ou d’une manière plus privée comme notre dossier médical.
Il existe deux types de données : Directe ou indirecte. La première catégorie correspond aux données contenant des identifiants et permettant donc de reconnaître facilement la personne, avec son nom, par exemple. La deuxième type de données sont celles qui ne permettent de reconnaître une personne que par un croisement de données, en utilisant l’adresse mail ou encore la plaque d’immatriculation.
La loi sur la protection des données fait également une différence avec les données dites “sensibles”. A l’art. 3 de la LPD, on nous informe que les données considérées comme sensibles sont les suivantes :
- les opinions ou activités religieuses, philosophiques, politiques ou syndicales,
- la santé, la sphère intime ou l’appartenance à une race,
- des mesures d’aide sociale,
- des poursuites ou sanctions pénales et administratives;
Ces données sont soumises à des lois strictes afin de les protéger. Dans cet article, nous allons comprendre quelles lois sont applicables pour protéger nos données et comment celles-ci peuvent être mises en place. Nous allons également parler de la notion de Privacy by Design (Cavoukian, 2020), une approche permettant de faire passer la problématique de la protection des données en priorité, dès la conception d'opérations de traitement d’informations.
Loi fédérale sur la protection des données (Suisse)
La Loi fédérale sur la protection des données protège(mettre un lien externe) “la personnalité et les droits fondamentaux des personnes physiques dont les données font l’objet d’un traitement“ (aLPD 1). Elle protège les individus en leur permettant d’avoir des droits de contrôle sur leurs données.
Depuis le 31 août 2022, un renforcement de la protection des données a été mis en vigueur par le Conseil fédéral. “La révision totale adapte la LPD aux nouvelles conditions technologiques et sociales. En particulier, la transparence du traitement des données sera améliorée et l’autodéterminiation des personnes concernées à l’égard de leurs données sera renforcée” (Office fédéral de la justice, 2022). Cette démarche a été faite dans le but de s’aligner avec les nouvelles lois européennes. Le texte (nLPD) entrera en vigueur le 1er septembre 2023.
Le Règlement européen sur la protection des données
Le Règlement européen sur la protection des données ou RGPD, concerne toutes les personnes actives sur le territoire européen. Le texte permet de donner aux citoyens un contrôle plus élevé sur leurs données personnelles, à demander aux entreprises plus de transparence et de sécurité et les autorités chargées de la protection des données se voient confier un rôle plus important.
L’impact du RGPD en Suisse a également une grande importance, puisque selon l’art. 2 par. 3 RGPD, “Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union [...].” Grâce à la nLDP, la Suisse a donc comme but de s’aligner avec les lois européennes. Afin d’apporter plus de clarté entre ces deux textes, le site Swissprivacy.law a réalisé un tableau comparatif entre la nLPD et le RGPD. Vous pourrez le retrouver ici :https://swissprivacy.law/wp-content/uploads/2021/02/20210211-Tableau-comparatif-nLPD-et-RGPD.pdf
Privacy by Design
La notion de Privacy by design, développée par Ann Cavoukian dans les années 90, repose sur sept principes fondamentaux (Cavoukian, 2020) :
- une approche proactive et non réactive, qui met l'accent sur la prévention.
- la vie privée comme paramètre par défaut.
- le respect de la vie privée intégré dans la conception. Dès lors qu’une entreprise conçoit un produit, ce principe doit être une priorité dans le processus de conception.
- la fonctionnalité complète, c’est-à-dire qu’on a le droit à la sécurité ET au respect de notre vie privée et non pas l’un ou l’autre.
- la sécurité de bout en bout. La collecte, l’utilisation et l’élimination des données des clients doit se faire de manière sécurisée tout au long du processus.
- la visibilité et la transparence. Autrement dit, il faut expliquer clairement aux clients comment seront traitées leurs données.
- le respect de la vie privée des utilisateurs. Il faut que les mesures mises en œuvre restent centrées sur l'utilisateur et soient faciles d’utilisation et compréhensibles.
Selon l’autrice, les mesures de sécurité concernant les données personnelles ne devraient pas être considérées comme un simple ajout, mais pensées dès le début des opérations.
La PbD a fait l’objet de beaucoup de discussions ces dernières années. En effet, certaines entreprises jugent parfois trop compliqué de mettre en œuvre les 7 principes fondamentaux, concernant leur manière de traiter les données de leurs clients. Cependant, elle défend la mise en place du PbD avec ces mots très parlant : “The difference between those who choose to implement PbD and those who do not is often simply a difference in priority—who is considering the needs of their customers and valuing their privacy in business practice?”. Elle considère que les entreprises qui donnent de l’importance à la sécurité des données personnelles de leurs clients permet d’obtenir un avantage concurrentiel en gagnant la confiance des clients.
La notion de privacy by design est également un pilier de la RGPD, puisqu’elle est mentionnée dans l’art. 25 du texte de loi. Elle définit les responsabilités en matière de protection des données dès conception et par défaut.
Approche pragmatique de la Privacy by Design
Ces 7 principes qui forment la PbD peuvent sembler quelque peu abstraits lorsqu'il s‘agit de passer à l'action et de les implémenter dans lors de la conception de technologies de l'information par exemple.
En travaillant avec plusieurs organisations qui ont commencé à entreprendre des mises en œuvre significatives basées sur le PbD et des experts en la matière, Anne Cavoukian (2012) et l’ICP (Office of the Information and Privacy Commissioner of Ontario) ont documenté la mise en œuvre du PbD dans neuf domaines différents représentant un large éventail de technologies.
En se basant sur ces différentes applications de la PbD, ils proposent une liste d’actions ou méthodes qui peuvent servir de marche à suivre permettant une approche plus pragmatique à l'implémentation de la PbD, principes par principes.
Principe 1: Proactive not Reactive; Preventative not Remedial
Principe 2: Privacy as the Default Setting
Principe 3: Privacy Embedded into Design
Principe 4: Full Functionality – Positive-Sum, not Zero-Sum
Principe 5: End-to-End Security – Full Lifecycle Protection
Principe 6: Visibility and Transparency – Keep it Open
Principe 7: Respect for User Privacy – Keep it User-Centric
Le modèle des rôles
Bibliographie
- Cavoukian, A. (2009). Privacy by design: The 7 foundational principles. Information and privacy commissioner of Ontario, Canada, 5, 2009.
- Cavoukian, A. (2012). Operationalizing privacy by design: A guide to implementing.
- Cavoukian, A. (2020). Understanding how to implement privacy by design, one step at a time. IEEE Consumer Electronics Magazine, 9(2), 78-82.
Sitographie
- À quoi correspondent les données à caractère personnel ? (2018, août 1). Commission européenne - European Commission. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_fr
- Fedlex. (s. d.). https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/fr
- Justice, O. F. de la. (s. d.). Renforcement de la protection des données. https://www.ejpd.admin.ch/bj/fr/home/staat/gesetzgebung/datenschutzstaerkung.html
- Donnée personnelle | CNIL. (s. d.). https://www.cnil.fr/fr/definition/donnee-personnelle